Настройка системы единого входа (SSO) для SAML

Прежде чем начать

Прежде чем приступать к работе, выполните следующие требования:

  • Получите разрешение SAML для вашей учетной записи
  • Получите метаданные вашего IdP (динамические или статические)
  • Выполните согласование пользователей CertCentral и пользователей SAML (поле с ИД имени или атрибут).

См. Требования к функции единого входа (SSO) для SAML и Рабочий процесс службы SAML.

Настройте функции единого входа (SSO) для SAML

  1. Перейдите на страницу Настройки федерации

    1. в меню на боковой панели нажмите Настройки > Функция единого входа (SSO).
    2. На странице Функция единого входа (SS) нажмите Редактировать настройки федерации.

  1. Настройка метаданных вашего поставщика удостоверений

    На странице страница Настройки федерации, в разделе Метаданные вашего IdP выполните указанные ниже задачи.

    1. Добавьте метаданные IdP
      Под полем Каким образом вы будете пересылать данные от вашего IdP? укажите одну из следующих опций для добавления ваших метаданных.
      1. Метаданные XML
        Передача в DigiCert метаданных вашего IdP в формате XML.
        Если метаданные вашего IdP изменяются, вы должны вручную изменить метаданные вашего IdP в вашей учетной записи.
      2. Использование динамического URL-адреса
        Передача в DigiCert ссылки на метаданные вашего IdP.
        Если метаданные вашего IdP изменяются, метаданные вашего IdP в вашей учетной записи автоматически обновляются.
    2. Идентификация пользователей
      Для успешной регистрации в функции единого входа (SSO) в SAML вам необходимо принять решение, каким образом будет обеспечиваться согласование утверждения вашей SSO и имена пользователей в Пользователи SSO в CertCentral.
      Под полем Каким образом вы будете идентифицировать пользователей? выберите одну из данных опций для согласования пользователей SSO и соответствующих имен пользователей в CertCentral.
      1. ИД имени
        Используйте поле ИД именидля согласования ваших пользователей CertCentral и соответствующих пользователей функции единого входа (SSO) в SAML.
      2. Пользователь с атрибутом SAML
        Используйте атрибут для согласования ваших пользователей в CertCentral и соответствующих пользователей функции единого входа (SSO) в SAML.
        В окне укажите атрибут, который вы хотите использовать (например, email).
        Данный атрибут должен появляться в утверждении о пересылке вашего IdP в DigiCert:
        <AttributeStatement>
        <Атрибут         Name="email">
        <Значение атрибута>        user@example.com
        </Значение атрибута>
        </Атрибут>
        </Описание атрибута>
    3. Добавьте имя федерации
      Под полем Имя федерации, введите Имя федерации (понятное имя), которое должно включать в себя URL-адрес настраиваемой функции SSO. Вы должны отправить данный URL-адрес SSO только пользователям SSO.
      Примечание: Имя федерации должно быть уникальным. Рекомендуем использовать имя вашей компании.
    4. Включить имя федерации
      По умолчанию мы добавляем ваше имя федерации на страницу Выбор IdP, откуда ваши пользователи SSO могут без затруднений обратиться к вашему URL-адресу настраиваемой функции SSO, инициированной SP.
      Чтобы имя федерации не появлялось в списке IdPs на странице Выбор IdP, снимите флажок Добавить мое Имя федерации к перечню IdP.
    5. Сохранить
      После завершения работы нажмите Сохранить и Завершить.

  1. Добавьте метаданные поставщика услуг (SP)

    На странице Единый вход (SSO), в разделе Метаданные SP DigiCert выполните одно из следующих действий, чтобы добавить метаданные SP в DigiCert SP к вашим метаданным IdP:

    • динамический URL-адрес для метаданных SP DigiCert
      Скопируйте динамический URL-адрес в метаданные SP DigiCert и добавьте их к вашему IdP; это поможет устанавливать соединение SSO.
      Если метаданные SP DigiCert в какой-то момент времени изменяются, ваши метаданные SP в вашем IdP автоматически обновляются.
    • Статический XML
      Скопируйте предоставляемые DigiCert отформатированные метаданные SP в формате XML и добавьте их к вашему IdP, чтобы помочь установить соединение SSO.
      Если метаданные DigiCert SP в какой-то момент времени изменятся, вы должны вручную изменить их в вашей IdP.

  1. Сконфигурировать настройки SSO для пользователей

    При добавлении пользователей к вашей учетной записи вы можете ограничить пользователей только проверкой подлинности в функции Единого входа (пользователи только функции SSO). Такие пользователи не имеют доступа к API (например, не могут создавать рабочие ключи API).

    Чтобы разрешить пользователям только функции SSO создавать ключи API и образовывать интеграции API, установите флажок Разрешить доступ к API пользователям только функции SSO.

Опция Разрешить доступ к API пользователям только функции SSO позволяет пользователям, имеющим доступ только к функции SSO, с ключами API обходить функцию Единого входа. Запрет доступа к API для пользователей, имеющих доступ только к функции SSO, не приводит к отзыву существующих ключей API. Данный запрет просто блокирует создание новых ключей API.

  1. Зарегистрируйтесь и завершите соединение между SAML SSO и CertCentral

    На странице функции Единого входа, в разделе URL-адрес настраиваемой функции SSO, инициированной SP, скопируйте URL-адрес и вставьте его в браузер. Затем воспользуйтесь регистрационными данными вашего IdP для регистрации в вашей учетной записи CertCentral.

По своему усмотрению вместо этого вы можете использовать URL-адрес для регистрации, инициированной IdP, при регистрации в вашей учетной записи CertCentral. При этом вы должны предоставить вашим пользователям SSO URL-адрес, инициированный данным IdP, или приложение.

Что дальше

Начните управлять вашими пользователями функции Единого входа в вашей учетной записи (добавьте к вашей учетной записи для SAML пользователей, имеющих доступ только к функции SSO, преобразуйте существующих пользователей учетной записи в пользователей, имеющих доступ только к функции SSO в SAML и т. д.). См. Управление пользователями, имеющих доступ только к функции (SSO) с помощью SAML и Получение доступа к настройкам разрешения доступа к SAML.

О проекте

DigiCert is the world's leading provider of scalable TLS/SSL, IoT and PKI solutions for identity and encryption. The most innovative companies, including 89% of the Fortune 500 and 97 of the 100 top global banks, choose DigiCert for its expertise in identity and encryption for web servers and Internet of Things devices. DigiCert supports TLS and other digital certificates for PKI deployments at any scale through its certificate lifecycle management solution, CertCentral®. The company is recognized for its enterprise-grade certificate management platform, fast and knowledgeable customer support, and market-leading security solutions. For the latest DigiCert news and updates, visit digicert.com or follow @digicert.

©2020 DigiCert, Inc. All rights reserved. DigiCert, its logo and CertCentral are registered trademarks of DigiCert, Inc. Norton and the Checkmark Logo are trademarks of NortonLifeLock Inc. used under license. Other names may be trademarks of their respective owners.